Хакерҳо аз хусусияти протоколи OpenPGP истифода карданд, ки зиёда аз даҳ сол маълум аст.
Мо ба шумо мегӯем, ки ин чӣ маъно дорад ва чаро онҳо онро баста наметавонанд.
/Unsplash/
Мушкилоти шабака
Дар нимаи моҳи июн маълум нест
Ҳакерҳо шаҳодатномаҳои ду роҳбари лоиҳаи GnuPG Роберт Ҳансен ва Даниэл Гиллморро зери даст гирифтанд. Бор кардани сертификати вайроншуда аз сервер боиси нокомии GnuPG мегардад - система танҳо ях мекунад. Боварӣ ҳосил кардан мумкин аст, ки ҳамлагарон бо ин қатъ намешаванд ва шумораи шаҳодатномаҳои вайроншуда танҳо афзоиш хоҳад ёфт. Дар айни замон, дараҷаи мушкилот номаълум боқӣ мемонад.
Моҳияти ҳамла
Ҳакерҳо аз осебпазирии протоколи OpenPGP истифода карданд. Вай дар давоми даҳсолаҳо ба ҷомеа маълум аст. Ҳатто дар GitHub
Якчанд интихобҳо аз блоги мо дар Ҳабре:
Тибқи мушаххасоти OpenPGP, ҳар кас метавонад ба сертификатҳо имзои рақамиро илова кунад, то соҳиби худро тасдиқ кунад. Гузашта аз ин, шумораи ниҳоии имзоҳо ба ҳеҷ ваҷҳ танзим карда нашудааст. Ва дар ин ҷо мушкилот ба миён меояд - шабакаи SKS ба шумо имкон медиҳад, ки дар як сертификат то 150 ҳазор имзо ҷойгир кунед, аммо GnuPG ин рақамро дастгирӣ намекунад. Ҳамин тариқ, ҳангоми боркунии сертификат, GnuPG (инчунин дигар татбиқи OpenPGP) ях мекунад.
Яке аз корбарон
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Барои бадтар кардани вазъият, серверҳои калидии OpenPGP маълумоти сертификатро нест намекунанд. Ин барои он анҷом дода мешавад, ки шумо метавонед силсилаи ҳама амалҳоро бо сертификатҳо пайгирӣ кунед ва иваз кардани онҳоро пешгирӣ кунед. Аз ин рӯ, нест кардани унсурҳои вайроншуда ғайриимкон аст.
Аслан, шабакаи SKS як "сервери файл"-и калонест, ки ҳар кас метавонад ба он маълумот нависад. Барои нишон додани мушкилот, соли гузашта сокини GitHub
Чаро осебпазирӣ баста нашудааст?
Барои бастани осебпазирӣ ягон сабаб вуҷуд надошт. Қаблан он барои ҳамлаҳои ҳакерӣ истифода намешуд. Гарчанде ки ҷомеаи IT
Барои одилона гуфтан лозим аст, ки дар мохи июнь онхо хануз
/Unsplash/
Дар мавриди иштибоҳ дар системаи аслӣ, механизми мураккаби ҳамоҳангсозӣ аз ислоҳи он пешгирӣ мекунад. Шабакаи сервери калидӣ дар ибтидо ҳамчун далели консепсияи рисолаи доктории Ярон Мински навишта шуда буд. Ғайр аз он, барои кор як забони хеле мушаххас, OCaml интихоб карда шуд. Аз ҷониби
Дар ҳар сурат, GnuPG боварӣ надорад, ки шабака ҳеҷ гоҳ ислоҳ карда мешавад. Дар як паём дар GitHub, таҳиягарон ҳатто навиштаанд, ки онҳо кор карданро бо SKS Keyserver тавсия намедиҳанд. Дар асл, ин яке аз сабабҳои асосии гузариш ба хидмати нави keys.openpgp.org мебошад. Мо факат инкишофи минбаъдаи вокеахоро тамошо карда метавонем.
Якчанд мавод аз блоги корпоративии мо:
Манбаъ: will.com